iOS开发,让数据更安全的几个加密方式
2017-07-18 本文已影响50人
dvlproad
其他参考: iOS开发,让数据更安全的几个加密方式
本文摘自:iOS登录及token的业务逻辑
如果是即时通信类:长连接。
那如何保证服务器跟客户端保持长连接状态?
答:"心跳包" 用来检测用户是否在线!用来做长连接!
登录的网络请求方式一般是http请求(http请求是短连接)——只要登录成功之后,服务器就会和 app 断开连接.
http:是短连接.
http:短连接使用token 机制来验证用户安全性
token是指OAuth的accessToken和refreshToken
自动登录
①最简单的:直存user password,拿来做示例程序可行。
②次简单的:本地预存token,一般要求不高的产品足够了。
③标准的:带时效检测的token,过时更换token。
④较安全的:多层token,比如上面Jeff Yang说的,两层的token。我还见过3层的,但基本原理差不多,其实就是更复杂的机制获取token来保证安全性。
一般的实现方法是,客户端在第一次登录后,服务端会同时返回一个access token和refresh token。
access token有失效期,相对较短,用于每次和服务端通信的身份校验。
(可以看出:access token使用非常频繁,在网络中频繁传输会增大被盗取的可能性,容易被截获,所以有效时长应该较短)
refresh token用于access token失效后换取新的access token时的校验,成功后返回新的access token和新的refresh token。
(可以看出:refresh token只有在更新access token时才会在网络中传输一次,相对安全)
服务器如何判断当前用户是否登录?
token 值的生成与获取:
当用户首次登录成功之后, 服务器端就会根据用户的信息(账号/密码/身份认证机制(电话号/身份证号/支付宝账号/银行卡信息)...)生成一个唯一性的 token 值,来用于标识用户身份的值,并将这个token值返回给客户端。
①服务器对token值的处理:
* 会在服务器保存token值(保存在数据库中)
* 将这个token值返回给客户端.
②客户端拿到 token 值之后,对token值的处理,一般为将其保存下来,而保存的位置一般为下面两个位置 :
1. 将 token 保存在 cookie 中;
2.将 token 保存在沙盒中,作为一个公共参数传递.
token 值: 登录令牌! 用来判断当前用户的登录状态!
趋势: 登录成功后的所有的网络接口基本都会要求带 token 值这个参数.但是呢,这个参数对于有些接口来说不是必要的参数.
如登录成功后,客户端再发送的网络请求,就会将这个 token 值附带到参数中(公共参数)发送给服务器。服务器接收到客户端的请求之后,会取出token值与保存在服务器本地(数据库)中的token值做对比!
①如果两个 token 值相同 :说明用户登录成功过!当前用户处于登录状态!
②如果没有这个 token 值, 说明没有登录成功.
③如果 token 值不同: 说明原来的登录信息已经失效,让用户重新登录.
token 值失效问题:
1、token的有效时间:
①如果 app 是新闻类/游戏类/聊天类等需要长时间用户粘性的. 一般可以设置1年的有效时间!
②如果 app 是 支付类/银行类的. 一般token只得有效时间比较短: 15分钟左右!
所以,如果超过有效时间,则token自动失效。
2、token 值用来做设备唯一性登录判断!
每次登录之后,无论用户密码是否改变,只要调用登录接口并且登录成功,都会在服务器生成新的token值,原来的token值就会失效!
典型的 app : 打车软件类
拓展: 多台设备同时登录. 设备唯一性登录!
比如说QQ:允许在①电脑客户端登录,②手机客户端登录, ③网页端登录。如果超出这三个端,想要在另外一个相同的端登录(比如已经登录了手机客户端了,还要在另一台手机客户端上登录),那么我们需要使对应的端的token失效,来保证一个账号一个端只登录一次。
问:具体我们怎么做呢?
答:我们可以根据不同登录端,设置不同token。登录的时候,根据该登录端,来检测token 是否过期。 根据登录的数量 可以判断最大支持多少个设备同时登录
如果允许多台设备同时登录 ,并且可以设置最大的登录数量的时候。
二、token的高级用法
2.1 token值失效
token值失效! ---- 数据同步有关!
密码可以随时修改! ----- 当修改了密码之后,原来的 token 值就会失效, 服务器会返回一个新的 token.
数据同步 : pc 端/网页浏览 --- 和 app 端可以同时登陆!
例子:实现我们在手机和笔记本上同时QQ在线,但是我们在手机上修改了QQ的密码。那么笔记本会是什么样子的呢?
1、笔记本还是在登陆状态,但是在我们退出后再次登录时无法实现自动登录>>我们在自动登录时判断登录状态,同时判断token只是否改变。
2、在我们进行网络请求时,就出现问题提示我们密码已修改——这说明我们的网络请求使用到token值。
判断用户的登录状态: 不仅判断是否登录成功, 还要判断密码(token值)是否改变,是否需要用户再次登录,是否需要重置密码!
